Voy a aprovechar el tirón de la seguridad en internet con todo lo que está ocurriendo de los hackeos, el Ramsoware, etc… para hablar de cómo puedes mejorar la seguridad de WordPress y hacer más difícil posibles el acceso de terceros a tu web.
Estoy seguro que estos días te has llegado a preguntar a ver si a ti también te puede pasar. Pues sí, te puede pasar. Nadie estamos a salvo de este tipo de ataques. Sin embargo puedes tomar ciertas medidas para que sea más difícil que tu web sea atacada.
No me voy a enredar más, ¡Vamos a ver como puedes mejorar la seguridad de WordPress!
Mantener actualizado WordPress, sus plugins y temas
Mantener actualizado tanto WordPress, sus plugins y temas, es una tarea muy importante para mejorar la seguridad de WordPress. La mayoría de problemas de seguridad vienen por versiones de plugins o de WordPress obsoletas.
Cabe recordar que con cada actualización se solucionan problemas de seguridad. Es por eso que es importante tener todos los temas, plugins y WordPress lo más actualizados posibles y digo posibles porque muchas veces por problemas de compatibilidad hay que esperar a actualizaciones del tema o de otros plugins para poder actualizar el resto.
Los hackers suelen atacar principalmente sitios con versiones antiguas, ya que suelen ser más vulnerables al no incorporar la suficiente protección a tipos de ataque conocidos.
Además, también es muy importante no instalar plugins que lleven más de 2 años sin actualizarse tal y como recomiendo en el articulo de mejores plugins para WordPress.
No usar plugins o temas nulled o cracked
Usar plugins o temas nulled o cracked puede poner en peligro tu instalación de WordPress. Tal y como ocurre cuando usas programas piratas en tu ordenador, en WordPress pasa exactamente igual.
Si eres un experto en el lenguaje PHP y te has leído el código sin ver nada raro adelante. Sin embargo, dudo que todo el mundo que usa este tipo de themes y plugins sean expertos en PHP y aunque lo sean se pongan a mirar línea por línea a ver si encuentran algo raro.
¿Por qué digo encontrarte algo raro? Para que puedas descargarte un tema o plugin nulled, alguien ha tenido que modificar su código, ya que suelen ser elementos de pago y tienen que conseguir que pueda ser instalado de forma gratuita. A la vez que modifican el theme o plugin, puede que introduzcan algún código malicioso camuflado que puede dañar tu sitio web.
¿Qué problemas puedes encontrarte con un theme o plugin nulled o cracked?
- Envía SPAM al servidor
- Redirige a todas o a una parte de las visitas a una web externa
- Introduce enlaces en el sitio web que llevan a páginas externas
- Introduce nuevas páginas al sitio web con contenido poco ético
- Roban información de la base de datos del sitio web
- Dañan el rendimiento del servidor.
Protege el archivo de configuración de WordPress wp-config.php
Proteger el archivo wp-config.php de WordPress es una forma de reforzar la seguridad de tu web ya que desde este archivo se tiene acceso a información sensible sobre tu WordPresscomo las claves de seguridad y las bases de datos y detalles de la conexión.
¿Cómo puedes proteger el archivo wp-config.php?
Una de las medidas que puedes tomar es impedir el acceso al archivo de configuración a través de htacces. Basta con añadir las siguientes líneas de código al final de tu archivo htaccess para evitar que alguien pueda acceder a él.
#proteger wpconfig.php <files wp-config.php> order allow,deny deny from all </files>Protege la carpeta de archivos subidos
Una de las posibles vías de entrada de intrusos en tu WordPress es a través de la carpeta “uploads”.
Es importante asegurar al máximo esta carpeta para así evitar cargas de archivos indeseadas, sobre todo si tienes habilitada la publicación de artículos por terceros.
Al igual que en el punto anterior, puedes proteger esta carpeta añadiendo código en tu htacces. En este caso el código a añadir será el siguiente:
#seguridad de subida de archivos carpeta uploads <files ~ ".*\..*"> Order Allow,Deny Deny from all </Files> <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$"> Order Deny,Allow Allow from all </FilesMatch>Cambia el nombre de acceso «admin»
¿Piensas que detrás de los hackeos hay un hombre intentando acceder a tu web? Pues, permíteme decirte que no es así del todo. La mayoría de las veces son bots configurados para atacar instalaciones de WordPress con una característica concreta. Una característica muy común, es buscar aquellas que tengan como nombre de usuario “admin” ya que así tienen el 50% de la ecuación resuelta.
Por eso uno de los mejores consejos que te puedo ofrecer, es cambiar el nombre de usuario. Es decir, no uses admin para acceder a tu panel de administración de Wordpress ya que puede crearte problemas de seguridad.
Limita los intentos de acceso fallidos
Una de las maneras de intentar entrar en el panel de administración de tu WordPress es probando a ver si aciertan tu contraseña. Para evitar que lo intenten muchas veces y que la acaben acertando, limita el número de intentos posibles para acceder a tu panel.
Para esto, si desde tu hosting no puedes configurarlo , existen plugins como WP Login Limit Attempts.
Modifica la URL de login de tu WordPress
Si tu URL de entrada a tu web es midominio.com/wp-admin, cámbialo. Es demasiado fácil ya que es la URL que viene por defecto para acceder a todos los WordPress.
Protección adicional con la doble autenticación
Añadir una seguridad de doble autenticación es una medida muy recomendable. Mucha gente por desconocimiento o por pereza prefiere no hacerlo.
Existen plugins para WordPress que son muy fáciles de instalar y configurar que permiten mejorar la seguridad del formulario de acceso de WordPress.
- Google Authenticator
- Latch
Usar un segundo factor de autenticación para validar tu acceso con un token físico como por ejemplo tu móvil es más fiable que ofuscar el acceso a /wp-admin camuflándolo con otro nombre.
No utilices el prefijo wp_ para la base de datos
Usar un prefijo distinto para las tablas de la base de datos es un consejo básico para mejorar la seguridad de wordPress y evitar inyecciones SQL.
Esto no significa que cambiando el prefijo de las tablas de la base de datos estés a salvo. Sin embargo sí que puedo decirte que es una muy buena medida de seguridad.
Usa una contraseña fuerte
Me imagino que no será ninguna novedad decirte que uses una contraseña fuerte para acceder a tu WordPress. Por ejemplo, una cosa que me ha gustado mucho del plugin All In One WP Security & Firewall, del que hablo en el artículo «mejores plugins de WordPress», es que en uno de sus apartados te indica cuánto tiempo se tardaría en averiguar tu contraseña.
Aunque no creo que sea un cálculo muy realista, ver que tardarían en descubrir tu contraseña unos 580 años mola.
Mejorar la seguridad de WordPress con algún plugin
Existen multitud de plugins para mejorar la seguridad de WordPress. Los que más me gustan son Wordfence y All In One WP Security & Firewall. Sobre todo este último, ya que te permite muchas funcionalidades sin llegar a ralentizar tu instalación de WordPress.
Impide el acceso de sploggers
Si permites que en tu web se registren los usuarios, debes protegerte ante los sploggers. ¿Qué son los sploggers? Los sploggers son usuarios que se registran masivamente en webs para intentar acceder a su configuración, añadir comentarios spam o incluso inyectar malware.
Para impedir el acceso a los sploggers existe un plugin que funciona muy bien y es muy recomendable: WangGuard
Protege el archivo .htaccess
Como ya sabrás, el archivo .htaccess es muy importante para tu WordPress ya que te permite realizar muchas acciones como optimizar, securizar o incluso realizar redirecciones web. Además, también es un archivo crítico, es decir, si tocas lo que no tienes que tocar puedes tirar tu web. Por eso es importante proteger el archivo .htaccess. ¿Cómo? Pues añadiendo el siguiente código en el mismo conseguirás mejorar la seguridad de WordPress:
# protege el archivo htaccess <files .htaccess> order allow,deny deny from all </files>Deshabilitar XMLRPC para evitar ataques de DoS
Antes de nada ¿Qué es el XMLRPC? En WordPress, el protocolo XMLRPC actúa como API para aplicaciones externas y nos permite interactuar con una instalación de WordPress usando aplicaciones o servicios externos.
Podríamos decir que es como una puerta de entrada, por lo que puede ser atacada provocando un alto consumo de recursos al ejecutarse constantemente el proceso de autenticación.
¿Cómo puedo proteger el archivo XMLRPC?
Lo que debes hacer es dirigirte al archivo wp-config.php y colocar lo siguiente debajo de la última línea:
add_filter('xmlrpc_enabled', '__return_false');A continuación debes dirigirte al archivo functions.php del tema que tengas activado y al final debes añadir el siguiente código:
add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } );Si te parece difícil o no quieres dedicar tiempo en andar entre las carpetas de instalación de tu Wordpress, otra opción es protegerlo a través de plugins. Existen plugins como XMLRPC Attacks Blocker o incluso el All In One WP Security & Firewall del que hablaba anteriormente que entre otras opciones puedes proteger dicho archivo.
Realizando backups con cierta frecuencia conseguiras mejorar la seguridad de WordPress
Siempre habrás oido que es importante realizar una copia de seguridad antes de tocar nada. Pues eso, antes de tocar nada debes realizar copias de seguridad porque no sabes lo que puede pasar.
Además una copia de seguridad siempre te puede sacar de apuros. Imagínate que de la noche a la mañana tienes un problema en la web por algo que desconoces. Pues coges la copia de seguridad más reciente conocida y restauras la web.
Personalmente, además de usar el servicio de Backups que me ofrece mi alojamiento web, uso el plugin BackUpWordPress que me permite recibir en mi email copias de seguridad tanto de los archivos como de las bases de datos.
Tener un poco de sentido común
Ante todo hay que tener sentido común. Si ves algo raro, investiga. No instales themes y plugins que no sabes de su procedencia, etc…. Al igual que para proteger tu ordenador lo mejor es el sentido común, para proteger tu web también.
Conclusión
Por más que intentes mejorar la seguridad de WordPress, si alguien quiere y sabe atacarlo, va a hacerlo. Por lo que haz que le cueste un poco más que si no tuvieras todo protegido. Si a ti te va a llevar tiempo reparar la web por lo menos que también le lleve tiempo a quien quiere atacarte.
Si quieres saber cómo de segura es tu web siempre puedes usar una herramienta muy buena WP Doctor. Es una herramienta online que te dice las partes vulnerables a ataques de tu web.
Y como todo el sentido común es lo más importante, así que si algo te parece raro, no lo hagas. Y si lo vas a hacer por lo menos haz una copia de seguridad con anterioridad.
